TMEmS/V1ECSは Email Reputation Services (ERS) に対応しており、IPレピュテーション(TMEmS / V1ECS)として InterScan Messaging Security Suite (InterScan MSS) または InterScan Messaging Security Virtual Appliance (IMSVA) の メールレピュテーション と同様の機能が実装されています。
IPレピュテーションでは受信保護のメッセージ (外部から内部宛のメッセージ) に対し、接続元 (送信元) メールサーバのIPアドレスがスパムメールの送信元として ERS のデータベースに登録されている場合、メッセージの受信を 恒久的 または 一時的 に拒否します。
サポートする ERS データベース
ERS のデータベースにはスパムメール送信元のIPアドレスなどが登録されていますが、TMEmS/V1ECS のIPレピュテーションにおいてサポートされる ERS のデータベースは以下のとおりです。
| 説明 | |
|---|---|
| KSSL (Known Spam Source List) | スパムメールの送信元が登録されます。以前は RBL (Realtime Blackhole List) と呼ばれていました。 |
| DUL (Dynamic User List) | ISP により動的に割られているIPアドレスがまとめて登録されます。そのため、送信元がスパムメールを送信していなかったとしてもIPアドレスが登録されている可能性があります。 |
| ETL (Emerging Threat List) | ランサムウェアなどの配布に関与したIPアドレスなどが緊急的に登録されます。 |
| QIL (Quick IP List) | スパムメールを送信した可能性のあるIPアドレスが動的に登録されます。頻繁にIPアドレスが登録されたり解除されます。 |
IPアドレスが ERS のデータベースに登録されているかどうかは ERS ポータルの ルックアップページ から確認できます。
IPレピュテーションの設定
IPレピュテーションは初期設定で有効化されており、管理コンソールの [受信保護設定] > [送受信フィルタ] > [IPレピュテーション] の画面には以下の設定が用意されています。
設定
設定 のタブでは Quick IP List (QIL) と IPレピュテーションの標準設定 のセクションに分かれています。
Quick IP List (QIL)
Quick IP List (QIL) のセクションでは QIL (Dynamic reputation) の強度を設定できます。数字が大きいほど強度が強くなり、4 が最大です。強度が強いほど (数字が大きいほど) 多くのスパムメールをブロックできますが、正当なメッセージがブロックされる可能性も高くなります。
強度を 0 に設定すると、QIL データベースのチェックは無効化されます。
強度の値によって具体的にどの程度ブロック結果に違いがあるか、開示していません。IPレピュテーションによってブロックされず大量のスパムメールが届くのであれば強度を引き上げてください。また、QIL によってブロックされる正当なメッセージが多ければ強度を引き下げて様子を見てください。
IPレピュテーションの標準設定
IPレピュテーションの標準設定 のセクションでは KSSL, DUL, ETL の各データベース (Standard Reputation) に対してチェックするかどうかを設定できます。初期設定ではすべて有効化されています。例えば ETL データベースのチェックを無効化するのであれば、"Emerging Threat List (ETL)" のチェックを外して設定を保存します。
ブロック済みIPアドレスとブロック済み国/地域
ブロック済みIPアドレス と ブロック済み国/地域 のタブではユーザが任意にブロックしたい接続元のIPアドレスまたはIPアドレスの範囲を登録できます。
ブロック済みIPアドレス
ブロック済みIPアドレス のタブの画面に [追加] ボタンから接続元のIPアドレス (IPアドレスの範囲) を登録することで、登録されたIPアドレスからのメッセージをブロックできます。IPアドレスの範囲で登録する場合には 192.0.2.0/24 など CIDR 形式で登録します。
また、ブロック済みIPアドレスのリストは [エクスポート] ボタンから CSV ファイルにエクスポートしたり (export_blocked_ipaddresses.csv のファイル名でダウンロードされます)、CSV ファイルを指定してインポートすることが可能です。
ブロック済み国/地域
ブロック済み国/地域 のタブの画面では「ブロックする国/地域の選択」を選択して国または地域を追加した場合、ジオロケーション (Geolocation) 上、その国または地域に分類されるIPアドレスからのメッセージがブロックされます。
一方、「次の国/地域以外をすべてブロック」を選択して国または地域を追加した場合、ジオロケーション上、その国または地域に分類されるIPアドレス以外からのメッセージがブロックされます。
承認済みIPアドレスと承認済み国/地域
承認済みIPアドレス と 承認済み国/地域 のタブでは、正当なメッセージがIPレピュテーションによってブロックされた場合にユーザ任意の回避策として接続元のIPアドレスまたはIPアドレスの範囲を登録します。
承認済みIPアドレス
承認済みIPアドレス のタブの画面に [追加] ボタンから接続元のIPアドレス (IPアドレスの範囲) を登録することで、そのIPアドレスを接続元とするメッセージは IPレピュテーション および 逆引きDNS検証 のチェックから除外されます。IPアドレスの範囲で登録する場合には 203.0.113.0/24 など CIDR 形式で登録します。
また、承認済みIPアドレスのリストは [エクスポート] ボタンから CSV ファイルにエクスポートしたり (export_approved_ipaddresses.csv のファイル名でダウンロードされます)、CSV ファイルを指定してインポートすることが可能です。
「承認済みIPアドレスに対してスパムメールの検出をバイパス」のオプションを有効化した場合、 IPレピュテーション および 逆引きDNS検証 のチェックに加え、[受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] にある ポリシールールの検索からも除外されます。
接続元IPアドレスが承認済みIPアドレスのリストに登録されていた場合、メール追跡の 詳細ログ の画面を開くと、「処理」の評価済みポリシーには以下のように表示されます。
IPレピュテーションの確認 -送信者のIPを承認済みIPリストで検出
承認済み国/地域
承認済み国/地域 のタブの画面では任意の国または地域を追加した場合、ジオロケーション (Geolocation) 上、その国または地域に分類されるIPアドレスからのメッセージが IPレピュテーション のチェックから除外されます。
ブロック時の動作とログ
IPレピュテーションでは接続元のIPアドレスが ERS データベース や ブロック済みIPアドレス のリストに登録されていた場合、メッセージの受信を拒否しますが、QIL データベースに登録されていた場合とそれ以外で動作が異なります。具体的には、QIL データベース以外でブロックされた場合にはメッセージの受信を 恒久的 に拒否し、QIL データベースでブロックされた場合にはメッセージの受信を 一時的 に拒否します。
また、IPレピュテーションによりメッセージの受信が拒否された場合、そのログは管理コンソールの [ログ] > [メール追跡] の画面で種類に「ブロックされたトラフィック」を選択して検索され、接続元IPアドレスが登録されていたデータベースに応じて ブロック理由 が表示されます。
以下の 表 ではIPアドレスが登録されていたデータベース (あるいはブロック済みIPアドレスなどのリスト) で動作の違いやメール追跡ログのブロック理由に表示される内容の違いがわかります。
| 拒否の仕方 | メール追跡のブロック理由 | |
|---|---|---|
| KSSL | 550 の応答を返してメッセージの受信を恒久的に拒否 | 送信者のIPをKSSLで検出 |
| DUL | 送信者のIPをDULで検出 | |
| ETL | 送信者のIPをETLで検出 | |
| ブロック済みIPアドレス | 送信者のIPをブロックリストで検出 | |
| ブロック済み国/地域 | ||
| QIL | 450 の応答を返してメッセージの受信を一時的に拒否 | 送信者のIPをQILで検出 |
メッセージの受信を恒久的に拒否する場合
接続元のIPアドレスが KSSL などのデータベースに登録されていた場合、まず TMEmS/V1ECS のメールサーバは接続元 (送信元) のメールサーバに 550 の応答を返し、メッセージの受信を恒久的に拒否します。
送信元メールサーバはメッセージをバウンスし、配信不能通知 (バウンスメール) を生成して送信者に送信します。
メッセージの受信を一時的に拒否する場合
接続元のIPアドレスが QIL データベースに登録されていた場合、まず TMEmS/V1ECS のメールサーバは接続元 (送信元) のメールサーバに 450 の応答を返し、メッセージの受信を一時的に拒否します。
送信元メールサーバはいったんメッセージをキューに保存し、そのメールサーバの再送設定にしたがってメッセージの再送を試みます。
再送のタイミングで接続元IPアドレスが引き続き QIL データベースに登録されていれば、TMEmS/V1ECS のメールサーバは再度 450 を返してメッセージの受信を一時的に拒否します。送信元のメールサーバは再度キューにメッセージを保存し、再送を試みます。
再送のタイミングで接続元IPアドレスが QIL データベースから解除されて登録されていない、あるいは送信元のメールサーバが QIL データベースに登録されていない別のIPアドレスから再送を試みた場合、TMEmS/V1ECS のメールサーバはメッセージを受信し、処理フロー にしたがってメッセージを処理します。ポリシールールの検索などによりメッセージが隔離されたり削除されなければユーザのメールサーバに配送され、メッセージは最終的に遅延してユーザのメールボックスに届くことになります。
一方、メッセージの再送に成功せず送信元メールサーバのキューの保存期間を超過した場合には送信元のメールサーバは配送を諦めてメッセージをバウンスし、バウンスメールを生成して送信者に送信します。
よくある問い合わせ
Q1: メッセージが遅延していますが、メール追跡の「検索されたトラフィック」で確認する限り、TMEmS/V1ECS では処理が遅延していないようです。原因について何かわかりますか。
接続元IPアドレスが QIL データベースに登録され、遅延している可能性があります。管理コンソールの [ログ] > [メール追跡] の画面で種類に「ブロックされたトラフィック」を選択して検索し、ブロック理由に「送信者のIPをQILで検出」と表示されたログが表示されないか、確認してください。
Q2: QIL や DUL など ERS データベース に登録され、正当なメッセージがIPレピュテーションによりブロックされている場合の対処策を教えてください。
製品ユーザ側では原則 ERS データベースに登録された理由を確認したり、登録を解除できないため、以下のいずれかの回避策を実施してください。
- 管理コンソールの [受信保護設定] > [送受信フィルタ] > [IPレピュテーション] の 承認済みIPアドレス に接続元IPアドレスを登録する
- 管理コンソールの [受信保護設定] > [送受信フィルタ] > [送信者フィルタ] の 承認済み送信者 に送信者のメールアドレスを登録する
Q4: IPレピュテーションでブロックした際に管理者や受信者に通知できますか。
ポリシールールのように任意の宛先に通知することはできません。
Q5: QIL データベースに登録されてメッセージの受信が一時的に拒否されているあいだ、送信者にはそのことが通知されるのでしょうか。
メッセージの受信が一時的に拒否されているあいだ、メッセージは送信元メールサーバのキューに保存されており、メッセージの受信が一時的に拒否されていることを送信者に通知するかどうかは送信元メールサーバの設定次第です。製品側では対処できません。
Q6: 「ブロック済み国/地域」に特定の国・地域を登録していますが、意図せずIPアドレスがブロックされる場合があります。IPレピュテーションに問題ないのでしょうか。
ブロック済み国/地域 ではジオロケーションを使用してIPアドレスが国や地域に分類されています。必ずしも地域インターネットレジストリ (RIR) が割り当てた国・地域にと一致しないため、「ブロック済み国/地域」の設定に起因して意図せずブロックされる可能性があります。
なお、ジオロケーション上の国・地域の分類にはサードパーティのサービス事業者が提供するデータベースを使用しており、トレンドマイクロではIPアドレスが分類されている国・地域を変更できません。また、IPアドレスがその国・地域に分類されている経緯など、詳細について確認できないため、管理コンソールの [受信保護設定] > [送受信フィルタ] > [IPレピュテーション] の 承認済みIPアドレス に接続元IPアドレスを登録して回避することをお奨めします。